Стандарт IEC 61508

Функциональная безопасность электрических, электронных и программируемых электронных систем, связанных с безопасностью"

(Functional Safety of Electrical /Electronic /Programmable Electronic Safety Related Systems)
Стандарт Международной Электротехнической Комиссии (International Electrotechnical Commission) IEC 61508 - "Функциональная безопасность электрических, электронных и программируемых электронных систем, связанных с безопасностью" - это международный стандарт, разработанный для определения систем безопасности (Safety Related Systems - SRS) общего вида.

Стандарт может использоваться для любых отраслей промышленности, где имеется необходимость в использовании программируемых систем безопасности. Дата официального утверждения стандарта - 2000 год.

В целом стандарт довольно сложен для восприятия не только из-за своего огромного объема (более 400 страниц убористого текста на двух языках - английском и французском), но и чрезвычайно усложненной и запутанной терминологии.
Стандарт определяет концепцию Модели жизненного цикла системы безопасности, аналогичную ISA 84.01-96 (см. рис. 2.7 - 2.9).

Общая схема модели жизненного цикла, которую воспроизводит и структура самого стандарта IEC 61508, приведена в первой главе настоящей работы "Постановка задач автоматизации", рис. 1.7.
Модель жизненного цикла системы устанавливает, что уровень допуска системы не ограничивается изначальным уровнем допуска входящих в нее устройств, включая датчики и исполнительные механизмы.

Уровень допуска системы, точно так же, как и уровень допуска человека, должен определяться и подтверждаться для всех стадий и этапов на всем жизненном пути:

• Зарождение идеи;
• Предварительное обследование и оценка;
• Проектирование;
• Эксплуатация;
• Испытания, проверка и техобслуживание.

Стандарт представляет безопасность как "свободу от неприемлемого риска". Иными словами, абсолютной безопасности достичь невозможно, можно только снизить риск до приемлемого уровня.

Стандарт определяет 4 уровня интегральной безопасности (Safety Integrity Level - SIL) в зависимости от конкретной вероятности отказа выполнения требуемой функции (Probability of Failure on Demand - PFD):

Уровни безопасного допуска SIL по стандарту IEC 61508

4 - Защита от общей катастрофы
3 - Защита обслуживающего персонала и населения
2 - Защита оборудования и продукции, защита от травматизма
1 - Защита оборудования и продукции

Модель жизненного цикла электрической, электронной, программируемой электронной системы безопасности (E/E/PES)

Модель жизненного цикла программного обеспечения

Взаимодействие моделей жизненного цикла электрической, электронной, программируемой электронной системы безопасности (E/E/PES) и программного обеспечения

При этом необходимо понимать, что, например, принятие уровня допуска SIL1 означает, что уровень опасности процесса и ограничения на экономические потери при отказе системы защиты низки настолько, что системе разрешается 10% отказов выполнения функций защиты (см. таблицу 2.3).

Соответственно, 90% надежность будет означать, что из каждых десяти случаев превышения, например, уровня в емкости, в одном случае из этих десяти произойдет переполнение емкости.

Фактор снижения риска также нуждается в правильной интерпретации. Например, увеличение фактора снижения риска до 100 и более лет при уровне допуска SIL2 вовсе не означает, что данная конкретная система способна проработать без опасных отказов и ложных срабатываний эту самую сотню лет. Данное значение означает, что из сотни одновременно работающих систем одна система в течение одного года приведет процесс к опасному отказу.

В конечном итоге, задание уровня допуска SIL основывается на требуемой величине снижения риска, определяемой в ходе анализа опасности процесса.

Конечно, каждое предприятие вольно самостоятельно принимать решения, и устанавливать свои требования к системам безопасности на основе собственной технической политики. Однако современные стандарты безопасности устанавливают и требуют от предприятий соответствия предписаниям, выработанным на основе опыта эксплуатации и анализа причин аварий большого числа взрывопожароопасных производств. Сказанное означает, что в любом случае выбор уровня интегральной безопасности и соответствующей ему системы защиты должен быть тщательно проанализирован, обоснован и точно документирован. Диаграмма рисков и уровни допуска стандарта IEC 61508 представлены на рис. 2.10.

Стандарт определяет требования к профессиональной подготовке и квалификации специалистов, определяющих уровень требований к системам безопасности для конкретного процесса.

В отличие от всех предыдущих стандартов безопасности, стандарт IEC 61508 предусматривает непосредственное участие технологического персонала в обеспечении функций безопасности. Вместе с тем, в стандарте делается оговорка, что конкретные требования к технологическому и обслуживающему персоналу должны устанавливаться в отраслевых стандартах (и в стандартах предприятия - Ю.Ф.), которые должны разрабатываться с учетом общей методологии безопасности, определяемой данным стандартом.

В самом общем виде, стандарт IEC 61508:

1. Определяет Модель развития системы безопасности.
2. Определяет два подхода к системам безопасности:
   - Системы, обеспечивающие защиту и непрерывность контроля по средней частоте опасных отказов, и
   - Системы, обеспечивающие защиту и контроль по средней вероятности опасного отказа в течение предопределенного интервала времени.
3. Определяет концепцию безопасного допуска.
4. Устанавливает 4 уровня безопасного допуска (SIL).

Структура и параметры риска стандарта IEC 61508 заимствованы запросто и без церемоний из немецкого стандарта DIN 19250. При этом структуры диаграмм параметров риска для DIN и IEC полностью совпадают (сравните рис. 2.4 и 2.10).

Параметры риска по стандарту IEC 61508 (см. рис. 2.10):
Травматизм

С1 - Незначительные травмы
С2 - Серьёзные травмы одного или нескольких человек, смерть одного человека
СЗ - Смерть нескольких человек
С4 - Катастрофические последствия, большие человеческие потери.

Продолжительность нахождения в опасной зоне

F1 - От редкого до относительно частого
F2 - Частое или постоянное.

Предотвращение опасности

Р1 - Возможно при определённых обстоятельствах
Р2 - Невозможно.

Вероятность нежелательного события

W1 - Крайне низкая
W2 Низкая
W3 - Высокая.